Tz. 10
Stand: EL 137 – ET: 06/2024
Der Umgang mit personenbezogenen Daten muss eine gesetzliche Grundlage haben oder es muss die Einwilligung des Betroffenen vorliegen. Daneben sieht die DSGVO auch Fälle vor, in denen im Rahmen einer Interessenabwägung ermittelt werden soll, ob ein berechtigtes Interesse des Verantwortlichen im Verein oder eines sonstigen Empfängers an der Datenverarbeitung vorliegt, das die Rechte des Betroffenen überwiegt (Art. 6 Abs. 1 Buchst. f DSGVO).
1. Mitgliedsvertrag/Satzung
Tz. 11
Stand: EL 137 – ET: 06/2024
Eine gesetzliche Grundlage kann der Vereinszweck sein, der in der Vereinssatzung angegeben sein muss. Die Mitgliedschaft im Verein ist vertragliche Grundlage für die Verarbeitung der Daten durch den Verein. Es dürfen aber nur die Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind und die dem Vereinszweck laut der Satzung entsprechen.
Sieht die Vereinssatzung die Verarbeitung personenbezogener Daten vor, die weder für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses noch für die Erreichung des Vereinszwecks erforderlich sind, sind diese Regelungen der Vereinssatzung unwirksam. Eine nachträgliche Änderung des Vereinszwecks durch Mehrheitsbeschluss führt nicht automatisch dazu, dass die Datenverarbeitung sich automatisch auf diesen Zweck erstreckt. Erfordert der neue Vereinszweck eine weitergehende Verarbeitung personenbezogener Daten, darf die Satzung nur insoweit geändert werden, wie der neue Verarbeitungszweck mit dem ursprünglichen in einem Zusammenhang steht (vgl. Art. 6 Abs. 4 Buchst. a DSGVO, Erwägungsgrund 50). Kriterien der Vereinbarkeit des neuen mit dem alten Zweck definiert die DSGVO nicht. Jede Änderung ist im Einzelfall auf ihre Vereinbarkeit hin zu prüfen.
Innerhalb des Vereins sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung des Vereins bestimmt. Für den Umgang mit den Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Daten kennen, verarbeiten und nutzen darf.
Nicht zulässig ist es, dass alle Mitglieder auf die Daten der anderen Mitglieder zugreifen können, es sei denn, dass der Vereinszweck gerade darin besteht, mit Menschen, die sich in derselben Situation befinden, in Kontakt treten und sich austauschen zu können. Sollte dies der Fall sein, empfiehlt es sich, die Vereinsmitglieder frühzeitig mit dem Aufnahmeantrag darüber zu informieren.
Hinweis:
Der Verein sollte im Rahmen der Satzung oder gesondert eine Datenschutzordnung oder Datenschutzrichtlinie erstellen, die die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich regelt. Auf die gesonderte Datenschutzordnung sollte die Satzung ausdrücklich hinweisen. Es ist empfehlenswert, sich beim Aufbau der Datenschutzregelungen am Weg der Daten von der Erhebung über die Speicherung, Nutzung, Verarbeitung (insbesondere Übermittlung) bis zu ihrer Sperrung und Löschung zu orientieren. Dabei ist jeweils konkret festzulegen, welche Daten (z. B. Name, Vorname, Adresse, E-Mail-Adresse usw.) von welchen Personen (z. B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen) für welche Zwecke verwendet werden, ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen. Die bloße Wiedergabe des Wortlauts der Bestimmungen der DSGVO bzw. des BDSG-neu in keinem Fall ausreichend, hier dürfte es schon an der Verständlichkeit für jedermann scheitern.
2. Einwilligung
Tz. 12
Stand: EL 137 – ET: 06/2024
Für eine wirksame Einwilligung gelten die folgenden Punkte:
a) |
Ist der Umgang mit personenbezogenen Daten nicht vom Vereinszweck gedeckt – existiert also keine gesetzliche Grundlage – ist sie nur zulässig, wenn eine gültige Einwilligung des Betroffenen vorliegt. |
Beachte!
Eine (Blanco-)Einwilligung heilt nicht in jedem Fall die Datenverarbeitung. Es ist davon abzuraten, Einwilligungen für Datenverarbeitung einzuholen, die bereits aufgrund einer gesetzlichen Erlaubnis zulässig sind. Denn dadurch wird beim Betroffenen der Eindruck erweckt, er könne mit der Verweigerung der Einwilligung oder ihrem späteren Widerruf die Datenverarbeitung verhindern. Hat der Verein von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zurückzugreifen, wird der Betroffene getäuscht, wenn man ihn erst nach seiner ausdrücklichen Einwilligung fragt, dann aber doch auf gesetzliche Ermächtigungen zurückgreift. Hier gilt es, Missverständnisse zu vermeiden.
In einer bloßen Kenntnisnahmequittung kann keine Einwilligung gesehen werden. Denn eine bloße Quittung wird regelmäßig nicht den Informationspflichten genügen.
Die Einwilligung kann nicht ersetzt werden durch einen Mehrheitsbeschluss der Mitgliederversammlung oder des Vereinsvorstands. Unzulässig ist auch eine "Widerspruchslösung", wonach die ...